- @freefd: *cisco *DTP *trunk *howto *code
Неожиданно в Воронежском филиале на 15 минут отвалился транк до офиса, в логах 7w6d: %DTP-5-NONTRUNKPORTON: Port Gi1/47 has become non-trunk 7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/47, changed state to down 7w6d: %LINK-3-UPDOWN: Interface GigabitEthernet1/47, changed state to down 7w6d: %LINK-3-UPDOWN: Interface GigabitEthernet1/47, changed state to up 7w6d: %DTP-5-TRUNKPORTON: Port Gi1/47 has become dot1q trunk 7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/47, changed state to up С другой стороны транк принимает L2 свитч D-Link, следовательно никаких DTP и VTP оный не умеет. Как известно, даже жесткое указание типа инкапсуляции и режима работы порта switchport trunk encapsulation dot1q switchport mode trunk или switchport mode access switchport access vlan %vlan% не отключает dynamic trunking protocol на порту, это отлично можно проверить посредством vrn-s101-s127#sh dtp interface gigabitEthernet 1/47 DTP information for GigabitEthernet1/47: TOS/TAS/TNS: TRUNK/ON/TRUNK TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q Neighbor address 1: 000000000000 Neighbor address 2: 000000000000 Hello timer expiration (sec/state): 28/RUNNING Access timer expiration (sec/state): never/STOPPED Negotiation timer expiration (sec/state): never/STOPPED Multidrop timer expiration (sec/state): never/STOPPED FSM state: S6:TRUNK # times multi & trunk 0 Enabled: yes In STP: no Statistics ---------- 0 packets received (0 good) 0 packets dropped 0 nonegotiate, 0 bad version, 0 domain mismatches, 0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other 247 packets output (247 good) 247 native, 0 software encap isl, 0 isl hardware native 0 output errors 0 trunk timeouts 4 link ups, last link up on Thu Feb 09 2012, 20:40:26 3 link downs, last link down on Thu Feb 09 2012, 20:25:04 где Hello timer expiration (sec/state): 28/RUNNING говорит нам, что hello таймер работает. Для полного отключения DTP на порту необходимо выполнить switchport nonegotiate Выполнив vrn-s101-s127#sh dtp interface gi 1/47 DTP information for GigabitEthernet1/47: TOS/TAS/TNS: TRUNK/NONEGOTIATE/TRUNK TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q Neighbor address 1: 000000000000 Neighbor address 2: 000000000000 Hello timer expiration (sec/state): never/STOPPED Access timer expiration (sec/state): never/STOPPED Negotiation timer expiration (sec/state): never/STOPPED Multidrop timer expiration (sec/state): never/STOPPED FSM state: S6:TRUNK # times multi & trunk 0 Enabled: yes In STP: no Statistics ---------- 0 packets received (0 good) 0 packets dropped 0 nonegotiate, 0 bad version, 0 domain mismatches, 0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other 301 packets output (301 good) 301 native, 0 software encap isl, 0 isl hardware native 0 output errors 0 trunk timeouts 4 link ups, last link up on Thu Feb 09 2012, 20:40:26 3 link downs, last link down on Thu Feb 09 2012, 20:25:04 можно заметить, что hello таймер never/STOPPED. - @freefd: *linux *vmware *vshpere *hotplug *pciВ интернете практически не описано. Добавить интерфейс сетевой карты для Linux-based машины в окружении VMware можно налету. Достаточно выполнить
modprobe acpiphp
modprobe pci_hotplug
и после создать новый интерфейс в vCenter.
ifconfig -a покажет наличие нового интерфейса.3 days ago; 11 replies - @freefd: *шоэтабыло?o_O *linux *chmod *SELinux *CentOS6*NIS
Не иллюзорные кирпичи выросли подо мной, когда одна из машин для внутренних сервисов отказалась принимать авторизацию через NIS. Дело в том, что вся авторизация по ssh у нас организована в виде sshd вкупе с патчем AuthorizedKeysCommand + NIS + nscd.
NIS "доставляет" на сервер passwd, group и, ненужный в нашем случае, shadow, nscd их кеширует. В свою очередь, sshd забирает публичный ключ пользователя не из .ssh/authorized_keys2, а из вывода исполняемого файла директивы AuthorizedKeysCommand. В качестве такого файла выступает скрипт getkeys.sh следующего содержания:
#!/bin/bash
USER=$1
curl --connect-timeout 2 --cacert /etc/pki/tls/certs/company.domain "https://nis.company.domain/getkey/$USER/`hostname -s`/0.4.3/`uname`/`uname -m`/`cat /etc/issue | head -1 | sed -e 's/ /%20/g'`"
Как видно, ключ запрашивается с кластера nis.company.domain по , используя клиентский сертификат и REST. Со стороны кластера присутствует простейший интерфейс управления разрешениями пользователей (их public ssh keys) относительно групп серверов. Парольная авторизация пользователей по ssh отключена, исключительно ключи.
Казалось, бы, причем здесь SELinux?
[root@blg-intsvcs ~]# grep abled /etc/sysconfig/selinux
SELINUX=disabled
[root@blg-intsvcs ~]# ls -la /usr/bin/getent
-rwxr-xr-x 1 root root 27776 Дек 6 19:42 /usr/bin/getent
[root@blg-intsvcs ~]# ls -la /usr/bin/getkeys.sh
-rwxr-xr-x. 1 root root 368 Ноя 25 20:17 /usr/bin/getkeys.sh
Обратите внимание на отличие в "." после x. Данный аспект достаточно не очевиден и порой даже незаметен в листинге. Точка означаете применение к данному файлу SELinux ACL, в логах sshd появляется:
Jan 20 03:37:44 blg-intsvcs sshd[15631]: error: bad ownership or modes for AuthorizedKeysCommand path component ""
Исправляется данное недоразумение простым
setfattr -h -x security.selinux /usr/bin/getkeys.sh
После чего
[root@blg-intsvcs ~]# ls -la /usr/bin/getkeys.sh
-rwxr-xr-x 1 root root 368 Ноя 25 20:17 /usr/bin/getkeys.sh
К чему я это всё? Для любой, даже отлично продуманной экосистемы, найдётся сущность, которая создаст аварийную ситуацию в этой системе. Недооценивайте чужую глупость и роботов.
Единственное, что меня интересует — на этой машине SELinux отключен, КАК на этом файле появились дополнительные ACL? - @freefd: *opennet *DoS *языки *perl *developmentПроблеме подвержены все языки программирования и фреймворки, в которых не используется дополнительная рандомизация значений в функциях хэширования, например, уязвимы Java (Tomcat, Geronimо, Jetty, Glassfish), JRuby, PHP, Python, Rubinius, Ruby 1.8.7, V8 JavaScript Engine и ASP.NET. Проблема не затрагивает язык Perl и ветку Ruby 1.9.x, так как в этих языках уже используется внесение случайных изменений при формировании хэшей. В Perl проблема была устранена ещё в 2003 году, после публикации отчёта о возможности совершения подобной атаки.
via opennet.ru1 month ago - @freefd: *work *cisco *catalyst *убитьвсехлюдейПродолжая #1421414
И вот, 7 сентября состоялся релиз ROMMON cat4500-ios-promupgrade-122_31r_SGA7, что исправляет CSCtr65301. И теперь, таки да, прекрасно загружается и cat4500-entservicesk9-mz.122-54.sg1.bin, и даже cat4500-entservicesk9-mz.150-2.sg2.bin.
Спасибо, Cisco, ОЧЕНЬ вовремя, вашу мать. - @ugnich: *политика *readonlyПечально наблюдать, как толпы наивных и глупых халявщиков затевают "революции", слепо следуя за, то ли авантюристами, то ли мошенниками. Они думают, что можно ничего не делать, а стоит только свергнуть Путина/Кучму/Лукашенко/... и сразу же в стране воцарит порядок, перестанут воровать и вообще жизнь пойдет на поправку. Проще всего обвинять во всех бедах власть, переложить ответственность на неё и слепо верить, что она — источник всех проблем.
Страна, общество, в котором вы живете — это, прежде всего, люди, а не власть. Пока не изменятся люди, не изменится ничего.
Устройте "революцию" в своем подъезде, дворе: посадите дерево, покрасьте бордюры, наведите порядок. А то ерунда какая-то получается: у всех во дворе бардак и разруха, зато каждый второй знает, как страной управлять надо. Начните с малого, сделайте хоть что-нибудь для общества, или заткнитесь и не нойте, революционеры хреновы.2 months ago
